Введение
Данные — одна из ключевых ценностей для бизнеса, если не главная. Чтобы защитить их от потерь, важно регулярно создавать резервные копии инфраструктуры. Есть несколько форматов копирования: снапшоты и бэкапы.
- Снапшоты — мгновенные снимки состояния диска на конкретный момент времени. Они позволяют быстро «откатить» диск к состоянию, которое было до внесения изменений. Подходят для экспериментов, обновления ПО и тестирования новых настроек. Также их можно использовать для быстрого развертывания серверов с уже настроенной системой.
- Бэкапы — резервные копии данных сетевых дисков, которые хранятся отдельно от исходного диска и не стираются при его удалении. Они подходят для долгосрочного хранения состояния диска перед критическими изменениями — например, внедрением новых сервисов или переездом на новую БД. Их можно создавать вручную по кнопке или автоматически по расписанию.
Крупным компаниям особенно важно соблюдать высокие требования к сохранности и безопасности бэкапов. Случайное удаление, сбои и вредоносные программы — резервные копии должны быть надежно защищены от случайных и намеренных воздействий. Хранилище S3 Vault позволяет выполнить эту задачу.
Что такое S3 Vault
S3 Vault от Selectel — это надежное облачное решение для резервного копирования, которое обеспечивает создание и безопасное хранение копий клиентских S3-бакетов на защищенной изолированной инфраструктуре Selectel. Продукт гарантирует защиту данных в случае непредвиденных событий и обеспечивает их доступность в любое время.
Хранилище полностью изолировано от вмешательств извне. Оно защищает от вирусов-шифровальщиков благодаря логическому воздушному зазору: данные хранятся изолированно, и злоумышленник не сможет получить к ним доступ в случае атаки. Даже если основная инфраструктура будет скомпрометирована, резервные копии в S3 Vault останутся чистыми.
С технической точки зрения S3 Vault — это система в кластере Kubernetes, которая автоматизирует перенос данных из внешнего объектного хранилища в S3 Selectel. Управляющий слой (control plane) координирует работу масштабируемых воркеров, которые непосредственно копируют данные, в то время как механизмы мониторинга, логирования и самовосстановления обеспечивают стабильность и прозрачность этого процесса.
Удалить бэкапы в S3 Vault по ошибке или специально тоже не получится: доступ к данным выдается только по официальному запросу, их нельзя удалить или изменить до истечения срока блокировки. Если кто-то попытается удалить бэкап через API или панель управления, операция будет заблокирована. Доступ к хранилищу есть только у авторизованных сотрудников Selectel.
Также S3 Vault поможет, если произойдет сбой системы или работы инфраструктуры. Вы сможете восстановить утерянные данные из чистовой резервной копии. Это поможет в случае атаки, которая затрагивает все резервные копии в публичных хранилищах. Тогда восстановление данных займет несколько часов, а не недель.
С учетом особенностей S3 Vault особенно полезен компаниям, которые занимаются логистикой, производством, ритейлом — теми сферами, где простой критически опасен. Также решение выбирают крупные компании, чтобы соответствовать требованиям ФСБ и ФСТЭК, в частности — компании из финансового, энергетического, транспортного, государственного и телекоммуникационного секторов.
Преимущества S3 Vault
Вы можете настроить собственное расписание с помощью планировщика и создавать копии S3-бакетов автоматически. Так данные постоянно обновляющихся приложений вроде 1С, CRM и базы данных всегда будут в актуальном состоянии.
При этом масштаб хранилища адаптивен: можно копировать от сотен терабайт до петабайтов. В случае необходимости восстановления — например, после сбоя при обновлении складской системы — вы сможете оперативно получить доступ к целостным бэкапам в S3 Vault.
Важно, что весь процесс остается прозрачным благодаря системе уведомлений. Если копирование прервется или возникнет ошибка, вы узнаете об этом, а команда Selectel восстановит загрузку.
Но у решения есть и ограничения: S3 Vault не снимает бэкапы с виртуальных машин, БД и других сервисов. Продукт работает только с данными в хранилище — например, на стороне клиента остается бэкапирование ВМ, БД и каталога изображений для сайта. Второй нюанс связан со сбором данных через SMB-протокол: для него нужен выделенный сетевой канал.
Реальный кейс работы S3 Vault
Крупному игроку в сфере девелопмента недвижимости требовалось организовать дополнительную точку резервирования бэкапов виртуальных машин. Клиент ждал гарантию, что никто и никогда не сможет удалить или изменить данные. Местом хранения бэкапов выступала Veeam — кластеризованная файловая система, развернутая на выделенных серверах. В исходном решении были лазейки на уровне прав, которые не исключали возможность удаления снятых бэкапов. Клиент хотел собирать данные в обособленный контур, к которому не будет доступа даже у сотрудников.
Работа началась со сбора данных. Они находились не в S3, поэтому переносить их можно было только по SMB-протоколу. Команда S3 Vault расширила функциональность решения, что позволило забирать данные с выделенных серверов по SMB и складывать их в S3 Selectel.
Для точности и сохранности бэкапы ВМ на выделенных серверах снимались в разные дни и время. Также на них был включен механизм ротации: старые бэкапы удалялись, новые сохранялись. Некоторые бэкапы имели размер 30–50 ТБ.
Большой размер бэкапов накладывал риск, что мы не успеем забрать актуальный бэкап перед тем, как он удалится. Поэтому мы спроектировали сетевую архитектуру, подобрали оптимальную конфигурацию и настроили расписание запуска заданий S3 Vault так, чтобы все успевать
S3 Vault решил запрос клиента. Теперь данные копируются на отдельный сервисный аккаунт, доступ к которому есть только у авторизованных сотрудников Selectel. Информацию нельзя перезаписать или изменить. Клиент получает временный доступ к бакетам только по официальному запросу и только на чтение.
Данные поддерживаются в актуальном состоянии, а клиент может отслеживать процесс копирования и вовремя реагировать на ошибки: система присылает уведомления, если что-то идет не так. На выделенном дашборде он может отслеживать текущий объем данных, хранящихся в S3 в защищенном окружении, и статусы синхронизации его бакетов с детализацией.
В бакетах включена функция самоочистки. Автоматика S3 Selectel хранит только бэкапы за нужный клиенту промежуток времени. Это позволяет ротировать данные и не увеличивать объем S3, чтобы экономить бюджет.
В результате клиент получил дополнительную безопасную точку резервирования и хранения бэкапов своей инфраструктуры объемом 200 ТБ, а также инструменты для контроля за работой решения.
Участившиеся случаи атак на IT-инфраструктуру наносят бизнесу огромный ущерб, поэтому мы считаем, что сейчас как никогда актуальны решения для защищенного хранения критичных данных.
S3 Vault подходит как крупным enterprise-компаниям, так и среднему и малому бизнесу, которые хотят обезопасить себя от внешних и внутренних угроз. Наши клиенты могут использовать S3 Vault по цене холодного хранилища S3 — 1,14 ₽/ Гб, поэтому помимо защиты критичных данных решение позволяет организовать долгосрочное архивное хранение
Храните бэкапы ваших S3-бакетов на защищенной инфраструктуре Selectel. Оставьте заявку на странице продукта — мы оценим проект, поможем подобрать подходящую инфраструктуру и согласуем с вами все этапы: от синхронизации данных до геолокации хранилища.
